DFN-CERT

Advisory-Archiv

2022-0740: Cisco-Produkte, Spring Framework: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-04-07 17:54)
Neues Advisory
Version 2 (2022-04-08 11:07)
Cisco hat den Sicherheitshinweis aktualisiert und führt nun unter anderem auch Data Center Network Manager (DCNM) und Cisco Meeting Server als von der Schwachstelle betroffen auf.
Version 3 (2022-04-12 12:40)
Cisco hat den Sicherheitshinweis aktualisiert und kündigt nun erste Sicherheitsupdates an; unter anderem die Cisco Evolved Programmable Network Manager Versionen 6.0.1.1 (29. April 2022), 5.1.4.1 (29. April 2022) und 5.0.2.3 (29. April 2022) sowie die Data Center Network Manager (DCNM) Version 12.1.1 (30. Juni 2022).
Version 4 (2022-04-13 14:19)
Cisco hat den Sicherheitshinweis aktualisiert und führt Cisco Application Policy Infrastructure Controller Enterprise Module (APIC-EM) inzwischen unter 'Products Under Investigation' und Cisco Unified Intelligence Center unter 'Products Confirmed Not Vulnerable'.
Version 5 (2022-04-14 12:44)
Cisco hat den Sicherheitshinweis aktualisiert und kündigt nun als Sicherheitsupdates für Cisco Meeting Server die Versionen 3.5.0 (30. April 2022), 3.4.2 (31. Mai 2022) und 3.3.3 (17. Juni 2022) an.
Version 6 (2022-04-27 17:11)
Cisco hat den Sicherheitshinweis aktualisiert und kündigt Sicherheitsupdates für Cisco DNA Center in Form der Versionen 2.2.3.6 (Shockwave Patch 4) (3. Juni 2022), 2.2.2.9 (Fury Patch 7) (6. Mai 2022) und 2.3.3.3 (Guardian Patch 1) (25. Mai 2022) an.
Version 7 (2022-06-02 09:32)
Cisco hat den Sicherheitshinweis hinsichtlich der fehlerbereinigten Releases aktualisiert. Verfügbar ist neuerdings Data Center Network Manager (DCNM) Version 11.5.4 und angekündigt werden für Cisco DNA Center die Versionen 2.3.3.3 (17. Juni 2022), 2.2.3.6 (6. Juni 2022) und 2.2.2.9 (6. Juni 2022), jetzt jeweils ohne eine Patch-Referenzierung.

Betroffene Software

Entwicklung
Netzwerk
Server

Betroffene Plattformen

Hardware
Cisco
Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann eine Schwachstelle im Spring Framework aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.

Cisco informiert über die Schwachstelle, welche unter anderem Cisco Evolved Programmable Network Manager, Cisco Application Policy Infrastructure Controller Enterprise Module (APIC-EM), Cisco Digital Network Architecture (DNA) Center und Cisco Unified Intelligence Center betrifft. Zur Zeit stehen noch keine Sicherheitsupdates für diese Produkte zur Verfügung und die Untersuchungen betreffend weiterer Produkte dauern noch an. Der Hersteller wird den Sicherheitshinweis zeitnah aktualisieren.

Schwachstellen:

CVE-2022-22965

Schwachstelle in Spring Framework ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.